公开(公告)号：SG11202105427YA

公开(公告)日：2021-06-29

申请号：SG11202105427Y

申请日：2020-02-17

Applicant: IBM

Inventor： BUENDGEN REINHARD ,  BORNTRAEGER CHRISTIAN ,  BRADBURY JONATHAN ,  BUSABA FADI ,  HELLER LISA ,  MIHAJLOVSKI VIKTOR

IPC: G06F9/455 ,  G06F21/57

Abstract: Secure processing within a computing environment is provided by incrementally decrypting a secure operating system image, including receiving, for a page of the secure operating system image, a page address and a tweak value used during encryption of the page. Processing determines that the tweak value has not previously been used during decryption of another page of the secure operating system image, and decrypts memory page content at the page address using an image encryption key and the tweak value to facilitate obtaining a decrypted secure operating system image. Further, integrity of the secure operating system image is verified, and based on verifying integrity of the secure operating system image, execution of the decrypted secure operating system image is started.

公开(公告)号：DE102016102424A1

公开(公告)日：2016-08-18

申请号：DE102016102424

申请日：2016-02-11

Applicant: IBM

Inventor： BOENISCH VOLKER M M ,  BUENDGEN REINHARD ,  GEISERT FRANZISKA ,  LANG JAKOB CHRISTOPHER ,  LATTERMANN MAREIKE ,  MENCIAS ANGEL NUNEZ

IPC: G06F21/00 ,  G06F9/44

Abstract: Mindestens ein Hardware-Sicherheitsmodul von einer Mehrzahl von Hardware-Sicherheitsmodulen wird einem Gastsystem zugewiesen. Das mindestens eine Hardware-Sicherheitsmodul von der Mehrzahl von Hardware-Sicherheitsmodulen wird mit einem Hauptschlüssel konfiguriert. Ein Datenmuster wird für ein Abfrageprotokoll verwendet, das für den Nachweis angepasst ist, dass das mindestens eine Hardware-Sicherheitsmodul von der Mehrzahl von Hardware-Sicherheitsmodulen mit dem Hauptschlüssel konfiguriert ist. Das mindestens eine Hardware-Sicherheitsmodul, das den Hauptschlüssel enthält, wird dem Gastsystem auf der Grundlage eines positiven Resultats des Abfrageprotokolls zugewiesen.

公开(公告)号：GB2472060B

公开(公告)日：2016-01-27

申请号：GB0912800

申请日：2009-07-23

Applicant: IBM

Inventor： BUENDGEN REINHARD ,  HOLZHEU MICHAEL ,  DENGLER HOLGER ,  SAMESKE VOLKER

IPC: G06F9/54

公开(公告)号：DE112020000286T5

公开(公告)日：2021-09-09

申请号：DE112020000286

申请日：2020-03-06

Applicant: IBM

Inventor： BRADBURY JONATHAN ,  BORNTRAEGER CHRISTIAN ,  CARSTENS HEIKO ,  SCHWIDEFSKY MARTIN ,  BUENDGEN REINHARD

IPC: G06F12/14

Abstract: Gemäß einer oder mehreren Ausführungsformen der vorliegenden Erfindung umfasst ein durch einen Computer umgesetztes Verfahren ein Berechnen eines Hash-Werts einer Seite eines Arbeitsspeichers eines Computersystems und ein Vergleichen des Hash-Werts mit einem vorher berechneten Hash-Wert der Seite. Ein Wert pro Verschlüsselung pro Seite kann beim Verschlüsseln der Seite auf Grundlage eines Bestimmens verwendet werden, dass der Hash-Wert mit dem vorher berechneten Hash-Wert übereinstimmt. Ein modifizierter Wert des Werts pro Verschlüsselung pro Seite kann beim Verschlüsseln der Seite auf Grundlage eines Bestimmens verwendet werden, dass der Hash-Wert mit dem vorher berechneten Hash-Wert nicht übereinstimmt.

公开(公告)号：HUE054035T2

公开(公告)日：2021-08-30

申请号：HUE17780697

申请日：2017-10-02

Applicant: IBM

Inventor： GREINER DAN ,  SLEGEL TIMOTHY ,  ZOELLIN CHRISTIAN ,  JACOBI CHRISTIAN ,  PAPROTSKI VOLODYMYR ,  VISEGRADY TAMAS ,  BUENDGEN REINHARD ,  BRADBURY JONATHAN ,  PURANIK ADITYA

IPC: H04L9/06 ,  G06F9/30 ,  H04L9/32

公开(公告)号：AU2020234675A1

公开(公告)日：2021-06-10

申请号：AU2020234675

申请日：2020-02-27

Applicant: IBM

Inventor： BUENDGEN REINHARD ,  VISEGRADY TAMAS ,  FRANZKI INGO

IPC: G06F21/44 ,  G06F21/64 ,  G06F21/71 ,  G06F21/86

Abstract: A method, computer program product, and a system where a secure interface control configures a hardware security module for exclusive use by a secure guest. The secure interface control ("SC") obtains a configuration request (via a hypervisor) to configure the hardware security module (HSM), from a given guest of guests managed by the hypervisor. The SC determines if the HSM is already configured to a specific guest of the one or more guests, but based on determining that the HSM is not configured to the and is a secure guest the SC forecloses establishing a configuration of the HSM by limiting accesses by guests to the HSM exclusively to the given guest. The SC logs the given guest into the HSM by utilizing a secret of the given guest. The SC obtains, from the HSM, a session code and retains the session code.

公开(公告)号：CA3132759A1

公开(公告)日：2020-09-17

申请号：CA3132759

申请日：2020-02-27

Applicant: IBM

Inventor： BUENDGEN REINHARD ,  BRADBURY JONATHAN

IPC: G06F21/53 ,  G06F9/455

Abstract: A method, computer program product, and a system where a secure interface control determines functionality of a secure guest based on metadata. The secure interface control ("SC") obtains metadata linked to an image of a secure guest to be started by an owner and managed by the hypervisor, where the metadata comprises control(s) that indicate whether a secure guest generated with the image is permitted to obtain a response to a particular request. The SC intercepts, from the secure guest generated with the image, during runtime, a request. The SC determines, based on the control(s), if the secure guest is permitted to obtain a response to the request. If permitted, the SC commences fulfillment of the request, within the computing system. If not permitted, the SC ignores the request.

公开(公告)号：DE102016222861A1

公开(公告)日：2017-06-22

申请号：DE102016222861

申请日：2016-11-21

Applicant: IBM

Inventor： BACHER UTZ ,  BORNTRAEGER CHRISTIAN ,  BUENDGEN REINHARD ,  DINGEL DOMINIK

IPC: G06F9/455

Abstract: Ein Verfahren und ein System zum transparenten, sicheren Durchführen von Abrufvorgängen werden bereitgestellt. Das Verfahren und das System beinhalten Implementieren einer virtuellen Maschine (VM) in einer Umgebung, die einen Hypervisor und eine Firmware aufweist. Das Verfahren und das System beinhalten Bereitstellen von Puffern in Reaktion auf das Implementieren der VM und beinhalten Ausführen von VM-Befehlen. Das Verfahren und das System beinhalten Abrufen von VM-Befehlen, die Zugreifen auf Befehlsdaten und Kopieren des VM-Zustands in einen Schatten-VM-Zustand erfordern. Des Weiteren werden die Befehlsdaten in Puffer kopiert, und der abgerufenen VM-Befehl wird unter Verwendung des Puffers ausgeführt. Das Verfahren und das System beinhalten außerdem Aktualisieren des VM-Zustand-Schattenpuffers und der VM-Daten in dem VM-Speicher unter Verwendung von Ergebnisdaten in dem Puffer in Reaktion auf die Ergebnisse des Ausführens des abgerufenen VM-Befehls. Des Weiteren wird das Ausführen der VM-Befehle auf der Grundlage eines Zustands wiederaufgenommen, der in dem VM-Zustand-Schattenpuffer gespeichert ist.

公开(公告)号：GB2531248A

公开(公告)日：2016-04-20

申请号：GB201417784

申请日：2014-10-08

Applicant: IBM

Inventor： MENCIAS ANGEL NUNEZ ,  LANG JAKOB ,  GEISERT FRANZISKA ,  LATTERMANN MAREIKE ,  BUENDGEN REINHARD ,  BOENISCH VOLKER

IPC: G06F21/34 ,  G06F21/62 ,  G06F21/78

Abstract: Disclosed is a method of using a hardware security module 10 that can be connected to computer systems 212, 213. The computer systems being connectable to a server 12 within a common network 14. The hardware security module has a volatile memory 20, and a persistent or non-volatile memory 22, with a network address 18 of the server, an encrypted secret entity 32 and a private key 30. The server has a wrapping key 24 and a public key 26. When the hardware security module is connected to one of the computer systems, a secure connection 16 is established between the module and the server, the wrapping key is then retrieved, via the secure connection, from the server and stored in the volatile memory of the module. The key is then used to decrypt the encrypted secret entity and the decrypted secret entity 28 is stored in the volatile memory of the module. Also disclosed is a method of initialising a server and a connected hardware security module by encrypting and storing the secret entity in the persistent memory of the module.

公开(公告)号：DE112020005625T5

公开(公告)日：2022-09-01

申请号：DE112020005625

申请日：2020-12-10

Applicant: IBM

Inventor： BUENDGEN REINHARD ,  KISLEY RICHARD ,  URBAN VOLKER

IPC: G06F21/57 ,  G06F21/60 ,  G06F21/62 ,  H04L9/08

Abstract: Mindestens ein sicheres Objekt eines Sicherheitsmoduls wird an einen sicheren Gast gebunden. Eine vertrauenswürdige Komponente der Datenverarbeitungsumgebung ermittelt, ob Metadaten des sicheren Gasts ein vertrauliches Bindungsattribut für das Sicherheitsmodul enthalten. Auf Grundlage eines Ermittelns, dass die Metadaten das vertrauliche Bindungsattribut enthalten, konfiguriert die vertrauenswürdige Komponente das Sicherheitsmodul für den sicheren Gast in einem ausgewählten Modus. Der ausgewählte Modus verhindert, dass bestimmte Operationen durch einen Hypervisor abgefangen werden, der dem sicheren Gast zugehörig ist. Die vertrauenswürdige Komponente fängt eine Sicherheitsmodul-Datenübertragung ab und führt unter Verwendung des vertraulichen Bindungsattributs eine kryptografische Operation für ein oder mehrere sichere Objekte der Sicherheitsmodul-Datenübertragung durch, um ein kryptografisches Resultat bereitzustellen. Ein Ergebnis der Sicherheitsmodul-Datenübertragung, das das kryptografische Resultat enthält, wird einem Empfänger bereitgestellt.